Sevilla Sec&Beer

A menos que hayas vivido en una isla los últimos ocho años te sonará el informe de incidentes (o robo de datos) que Verizon realiza cada año comúnmente conocido como DBIR (Data Breach Investigations Report).

El informe 2012 (con resultados de incidentes de 2011) ya está disponible para vuestro deleite.

Estos señores analizan los incidentes ocurridos durante 2011 y extraen conclusiones (¡y métricas!) para ayudarnos a comprender cómo ocurren y cómo evitarlos.

El informe tiene una cuidada composición y una perfecta elección de gráficas. Incluso me gusta el pie chart que han usado.

El año pasado tuve un post en borrador durante un tiempo a la espera de terminar de leerlo y, al final, ni terminé de leerlo ni terminé el post. Como no quiero que pase lo mismo este año, os animo a que lo leáis y seas iluminados por su sabiduría.

Para ir abriendo boca os adjunto una de las métricas resumen iniciales donde se pueden apreciar algunas conclusiones que no tienen precio.

Fijaos que información más golosa para concienciar a vuestros superiores. La mayoría de los ataques no fueron complicados y podrían haber sido evitados con medidas simples de seguridad. Medidas que ni siquiera están presentes en muchas organizaciones.

¿Y qué hay de la monitorización? La mayor parte de los incidentes no se detectó en semanas y además los detectó un tercero. De ahí que cuando se oye que alguien dice “nosotros no hemos tenido incidentes” uno piensa “que te hayas dado cuenta”.

Lo del cumplimiento, pues eso. Llevándolo a un tema más cercano ¿quién cumple la LOPD o el ENS? Igual eso tampoco te protege, pero hay que reconocer que las medidas de seguridad que requieren son bastante razonables y ni por esas se encuentran implantadas.

En fin, no os quedéis sólo con esto y echad un vistazo al informe que no tiene desperdicio.